Lokale Konten

In diesem Artikel werden die lokalen Standardbenutzer- und Systemkonten für Windows-Betriebssysteme und deren Verwaltung beschrieben.

Lokale Konten (Benutzerkonten und Systemkonten) sind Sicherheitsprinzipale, die zum Verwalten des Benutzer- und Systemzugriffs auf die Ressourcen auf einem Gerät verwendet werden. Lokale Benutzer- und Systemkonten werden lokal auf einem Gerät definiert, und das Gerät ist die Sicherheitsautorität. Diese Konten verfügen nur über Rechte und Berechtigungen auf diesem Gerät.

Lokale Standardbenutzerkonten

Die lokalen Standardbenutzerkonten sind integrierte lokale Benutzerkonten, die das Betriebssystem bei der Installation automatisch erstellt. Sie können die lokalen Standardbenutzerkonten nicht entfernen oder löschen. Lokale Standardbenutzerkonten verfügen über Rechte und Berechtigungen zum Verwalten des Zugriffs auf die Ressourcen des lokalen Geräts. Sie bieten keinen Zugriff auf Netzwerkressourcen.

Verwenden Sie zum Verwalten der lokalen Benutzerkonten eines Computers die Microsoft Management Console (MMC) für die Computerverwaltung. Die Computerverwaltung ist eine Sammlung von Verwaltungstools, mit denen Sie ein lokales oder Remotegerät verwalten können. Die lokalen Standardbenutzerkonten und die von Ihnen erstellten lokalen Benutzerkonten befinden sich im Ordner Lokale Benutzer und Gruppen\Benutzer in der Computerverwaltung.

In den folgenden Abschnitten werden die lokalen Standardbenutzerkonten beschrieben.

Administrator

Das lokale Standardadministratorkonto ist ein Benutzerkonto, das für die Systemverwaltung vorgesehen ist. Jeder Computer ist eine Sicherheitsautorität und verfügt über ein Administratorkonto (die Kontosicherheits-ID (SID) lautet S-1-5-<SecurityAuthorityName>-500, und sein Anzeigename lautet Administrator). Das Administratorkonto ist das erste Konto, das während der Windows-Installation erstellt wird.

Das Administratorkonto hat die vollständige Kontrolle über die Dateien, Verzeichnisse, Dienste und andere Ressourcen auf dem lokalen Gerät. Das Administratorkonto kann andere lokale Benutzer erstellen, Benutzerrechte zuweisen und Berechtigungen zuweisen. Das Administratorkonto kann jederzeit die Kontrolle über lokale Ressourcen übernehmen, indem die Benutzerrechte und -berechtigungen geändert werden.

Sie können das Standardadministratorkonto nicht löschen oder sperren. Sie können sie jedoch umbenennen oder deaktivieren.

Windows Setup deaktiviert das integrierte Administratorkonto und erstellt ein weiteres lokales Konto, das Mitglied der Gruppe Administratoren ist.

Mitglieder der Administratorgruppen können Apps mit erhöhten Berechtigungen ausführen, ohne den Befehl Als Administrator ausführen zu verwenden.

Kontogruppenmitgliedschaft

Standardmäßig ist das Administratorkonto Mitglied der Gruppe Administratoren. Es empfiehlt sich, die Anzahl der Benutzer in der Gruppe "Administratoren" zu begrenzen, da Mitglieder der Gruppe "Administratoren" über Vollzugriffsberechtigungen auf dem Gerät verfügen.

Sie können das Administratorkonto nicht aus der Gruppe Administratoren entfernen.

Überlegungen zur Sicherheit

Es ist bekannt, dass das Administratorkonto in vielen Versionen des Windows-Betriebssystems vorhanden ist. Daher empfiehlt es sich, das Administratorkonto nach Möglichkeit zu deaktivieren, um böswilligen Benutzern den Zugriff auf den Server oder Clientcomputer zu erschweren.

Sie können das Administratorkonto umbenennen. Ein umbenanntes Administratorkonto verwendet jedoch weiterhin dieselbe automatisch zugewiesene SID, die böswillige Benutzer erkennen können. Weitere Informationen zum Umbenennen oder Deaktivieren eines Benutzerkontos finden Sie unter Deaktivieren oder Aktivieren eines lokalen Benutzerkontos und Umbenennen eines lokalen Benutzerkontos.

Als bewährte Sicherheitsmethode verwenden Sie Ihr lokales Konto (nicht administratorisch), um sich anzumelden, und verwenden Sie dann Als Administrator ausführen , um Aufgaben auszuführen, die ein höheres Maß an Rechten oder Berechtigungen erfordern als ein Standardbenutzerkonto. Verwenden Sie das Administratorkonto nicht, um sich bei Ihrem Computer anzumelden, es sei denn, dies ist erforderlich. Weitere Informationen finden Sie unter Ausführen eines Programms mit Administratoranmeldeinformationen.

Sie können Gruppenrichtlinie verwenden, um die Verwendung der lokalen Administratorgruppe automatisch zu steuern. Weitere Informationen zu Gruppenrichtlinie finden Sie unter übersicht über Gruppenrichtlinie.

Gast

Gelegentliche oder einmalige Benutzer, die nicht über ein Konto auf dem Gerät verfügen, können das Gastkonto verwenden, um sich vorübergehend beim lokalen Gerät anzumelden. Die Kontosicherheits-ID (SID) ist S-1-5-21-<SecurityAuthorityName>-501, und der Anzeigename lautet Gast. Das Gastkonto verfügt über eingeschränkte Benutzerrechte und -berechtigungen. Standardmäßig ist das Gastkonto deaktiviert und weist ein leeres Kennwort auf. Da das Gastkonto anonymen Zugriff bieten kann, wird es als Sicherheitsrisiko betrachtet. Aus diesem Grund empfiehlt es sich, das Gastkonto deaktiviert zu lassen, es sei denn, es ist erforderlich.

Gruppenmitgliedschaft für Gastkonten

Standardmäßig ist das Gastkonto das einzige Mitglied der Standardgruppe Gäste (die Gruppen-SID ist S-1-5-32-546). Diese Gruppe verfügt über die Rechte und Berechtigungen, die das Gastkonto benötigt, um sich bei einem Gerät anzumelden.

Sicherheitsüberlegungen für Gastkonten

Wenn Sie das Gastkonto aktivieren, gewähren Sie nur eingeschränkte Rechte und Berechtigungen. Verwenden Sie aus Sicherheitsgründen nicht das Gastkonto über das Netzwerk, und erlauben Sie anderen Computern nicht, darauf zuzugreifen.

Darüber hinaus sollte das Gastkonto die Ereignisprotokolle nicht anzeigen können. Nachdem Sie das Gastkonto aktiviert haben, empfiehlt es sich, das Gastkonto häufig zu überwachen, um sicherzustellen, dass andere Benutzer keine Dienste und anderen Ressourcen verwenden können. Zu diesen Ressourcen gehören ressourcen, die ein vorheriger Benutzer unbeabsichtigt verfügbar gelassen hat.

DefaultAccount

Das DefaultAccount-Konto, das auch als Standardsystem verwaltetes Konto (Default System Managed Account, DSMA) bezeichnet wird, ist ein bekannter Benutzerkontotyp. DSMA kann Prozesse ausführen, die mehrbenutzerfähig oder benutzerunabhängig sind.

Der DSMA ist in den Desktopeditionen und auf den Serverbetriebssystemen mit Desktoperfahrung standardmäßig deaktiviert.

Die DSMA verfügt über eine bekannte RID von 503. Die Sicherheits-ID (SID) des DSMA verfügt daher über eine bekannte SID im folgenden Format: S-1-5-21-<SecurityAuthorityName>-503.

Die DSMA ist Ein Mitglied der bekannten Gruppe "Systemverwaltete Konten", die über eine bekannte SID von verfügt S-1-5-32-581.

Dem DSMA-Alias kann während des Offline-Stagings Zugriff auf Ressourcen gewährt werden, noch bevor das Konto selbst erstellt wird. Das Konto und die Gruppe werden beim ersten Starten des Computers im Security Accounts Manager (SAM) erstellt.

So verwendet Windows die DSMA

Aus Berechtigungsperspektive ist die DSMA ein Standardbenutzerkonto.

Multi-user-manifested-apps (MUMA-Apps) benötigen die DSMA, um auf Windows-basierten Geräten ausgeführt zu werden. MUMA-Apps werden ständig ausgeführt und reagieren auf Benutzer, die sich beim Gerät anmelden und sich abmelden. Im Gegensatz zu Windows Desktop, bei dem Apps im Kontext des Benutzers ausgeführt werden und beendet werden, wenn sich der Benutzer abmeldet, werden MUMA-Apps mithilfe des DSMA ausgeführt.

MUMA-Apps funktionieren in freigegebenen Sitzungs-SKUs wie Xbox. Die Xbox-Shell ist beispielsweise eine MUMA-App. Heute meldet sich Xbox automatisch als Gastkonto an, und alle Apps werden in diesem Kontext ausgeführt. Alle Apps sind mehrbenutzerfähig und reagieren auf Ereignisse, die vom Benutzer-Manager ausgelöst werden. Die Apps werden als Gastkonto ausgeführt.

Im konvergenten Benutzermodell werden die mehrbenutzerfähigen Apps und Multibenutzer-fähigen Broker in einem anderen Kontext als der Benutzer ausgeführt. Zu diesem Zweck erstellt das System die DSMA.

Erstellen des DSMA auf Domänencontrollern (DCs)

Wenn die Domäne mithilfe von DOmänencontrollern erstellt wurde, die Windows Server 2016 oder eine höhere Windows Server Version ausführen, ist die DSMA auf allen DOmänencontrollern in der Domäne als lokales Konto vorhanden. Sie befindet sich in derselben Minikontodatenbank wie der Administrator des Verzeichnisdienst-Wiederherstellungsmodus (Directory Service Restore Mode, DSRM).

Empfehlungen für die Verwaltung des DSMA

Microsoft empfiehlt nicht, die Standardkonfiguration zu ändern, bei der das Konto deaktiviert ist. Es besteht kein Sicherheitsrisiko, wenn das Konto den Status "Deaktiviert" aufweist. Das Ändern der Standardkonfiguration könnte zukünftige Szenarien behindern, die auf diesem Konto basieren.

WDAGUtilityAccount

Das WDAGUtilityAccount ist ein vordefiniertes lokales Konto, das Von Windows Defender Application Guard verwendet wird. Das Konto verfügt über einen bekannten SID-Wert, S-1-5-21-<SecurityAuthorityName>-504. Standardmäßig gehört dieses Konto keiner Gruppe an.

WSIAccount

Das WSIAccount ist ein vordefiniertes lokales Konto, das in Windows 11 eingeführt wurde. Windows verwendet dieses Konto für webbezogene Aktivitäten, die über den Sperr- oder Anmeldebildschirm beginnen. Zu diesen Aktivitäten gehören der Zugriff auf Webseiten des Anmeldeinformationsanbieters für die Kennwortzurücksetzung oder die webbasierte Authentifizierung. Sie verfügt über einen bekannten SID-Wert, S-1-5-21-<SecurityAuthorityName>-1001. Standardmäßig gehört dieses Konto zur Gruppe Benutzer.

Lokale Standardsystemkonten

SYSTEM

Das SYSTEM-Konto wird vom Betriebssystem und von Diensten verwendet, die unter Windows ausgeführt werden. Sie verfügt über einen bekannten SID-Wert, S-1-5-18. Es gibt viele Dienste und Prozesse im Windows-Betriebssystem, die die Möglichkeit benötigen, sich intern anzumelden, z. B. während einer Windows-Installation. Das SYSTEM-Konto wurde zu diesem Zweck entworfen, und Windows verwaltet die Benutzerrechte des SYSTEM-Kontos. Es handelt sich um ein internes Konto, das nicht im Benutzer-Manager angezeigt wird und keinem Gruppen hinzugefügt werden kann.

Andererseits wird das SYSTEM-Konto auf einem NTFS-Dateisystemvolume im Datei-Manager im Bereich Berechtigungen des Menüs Sicherheit angezeigt. Standardmäßig erhalten das SYSTEM-Konto Vollzugriffsberechtigungen für alle Dateien auf einem NTFS-Volume. In diesem Zusammenhang verfügt das SYSTEM-Konto über die gleichen funktionalen Rechte und Berechtigungen wie das Administratorkonto.

NETZWERKDIENST

Das NETWORK SERVICE-Konto ist ein vordefiniertes lokales Konto, das vom Dienststeuerungs-Manager (SCM) verwendet wird. Das Konto verfügt über einen bekannten SID-Wert, S-1-5-20. Ein Dienst, der im Kontext des NETZWERKDIENSTkontos ausgeführt wird, stellt die Anmeldeinformationen des Computers Remoteservern zur Seite. Weitere Informationen finden Sie unter NetworkService-Konto.

LOKALER DIENST

Das LOKALE DIENSTkonto ist ein vordefiniertes lokales Konto, das vom SCM verwendet wird. Das Konto verfügt über einen bekannten SID-Wert, S-1-5-19. Sie verfügt über Mindestberechtigungen auf dem lokalen Computer und stellt anonyme Anmeldeinformationen im Netzwerk bereit. Weitere Informationen finden Sie unter LocalService-Konto.

HelpAssistant

Das HelpAssistant-Konto ist ein lokales Standardkonto, das nur während Remoteunterstützungssitzungen aktiviert ist. Wenn keine Remoteunterstützungsanforderungen ausstehen, wird das HelpAssistant-Konto automatisch deaktiviert.

HelpAssistant ist das primäre Konto, das zum Einrichten einer Remoteunterstützungssitzung verwendet wird. Die Remoteunterstützungssitzung stellt eine Verbindung mit einem anderen Windows-basierten Computer her und wird durch Einladung initiiert. Um Remoteunterstützung zu erhalten, sendet ein Benutzer eine Einladung von ihrem Computer per E-Mail oder als Datei an eine Person, die Hilfe leisten kann. Nachdem die Einladung des Benutzers zu einer Remoteunterstützungssitzung akzeptiert wurde, wird automatisch das Standardmäßige HelpAssistant-Konto erstellt, um der Person, die Unterstützung bereitstellt, eingeschränkten Zugriff auf den Computer zu gewähren. Der Remotedesktophilfe-Sitzungs-Manager-Dienst verwaltet das HelpAssistant-Konto.

Überlegungen zur Sicherheit des HelpAssistant-Kontos

Die SIDs, die sich auf das Standardkonto HelpAssistant beziehen, enthalten die folgenden Werte:

• SID: S-1-5-13, Anzeigename Terminalserverbenutzer. Diese Gruppe umfasst alle Benutzer, die sich bei einem Server anmelden, während Remotedesktopdienste aktiviert sind.
• SID: S-1-5-14, Anzeigename Remote Interactive Logon. Diese Gruppe umfasst alle Benutzer, die über eine Remotedesktopverbindung eine Verbindung mit dem Computer herstellen. Diese Gruppe ist eine Teilmenge der interaktiven Gruppe. Zugriffstoken, die die SID für die interaktive Remoteanmeldung enthalten, enthalten auch die interaktive SID.

Für das Windows Server Betriebssystem ist die Remoteunterstützung eine optionale Komponente, die nicht standardmäßig installiert ist. Sie müssen die Remoteunterstützung installieren, bevor sie verwendet werden kann.

Verwalten lokaler Benutzerkonten

Wie weiter oben beschrieben, befinden sich die lokalen Standardbenutzerkonten und die von Ihnen erstellten lokalen Benutzerkonten im Ordner Lokale Benutzer und Gruppen\Benutzer in der Computerverwaltung. Weitere Informationen zum Erstellen und Verwalten lokaler Benutzerkonten finden Sie unter Verwalten lokaler Benutzer.

Um die Fähigkeit lokaler Benutzer und Gruppen zum Ausführen bestimmter Aktionen einzuschränken, können Sie lokale Benutzer und Gruppen verwenden, um Nur auf dem lokalen Computer Rechte und Berechtigungen zuzuweisen. Ein Recht autorisiert einen Benutzer, bestimmte Aktionen auf einem Gerät auszuführen, z. B. das Sichern von Dateien und Ordnern oder das Herunterfahren eines Computers. Eine Zugriffsberechtigung ist eine Regel, die einem Objekt zugeordnet ist, in der Regel einer Datei, einem Ordner oder einem Drucker. Sie regelt, welche Benutzer auf welche Weise Zugriff auf ein Objekt auf dem Server haben können.

Sie können keine lokalen Benutzer und Gruppen auf einem Domänencontroller verwenden, um Konten auf dem Domänencontroller zu verwalten. Sie können lokale Benutzer und Gruppen auf einem Domänencontroller verwenden, um Remotecomputer als Ziel zu verwenden, die keine DCs sind, wenn Ihr Netzwerk die Remoteverwaltung zulässt.

Sie können lokale Benutzer auch verwaltenNET.EXE USER, indem Sie lokale Gruppen mithilfe NET.EXE LOCALGROUPvon oder mit den Cmdlets Microsoft.PowerShell.LocalAccounts Module in Windows PowerShell verwalten.

Schützen von Standardarbeitsstationskonten, während die Konten verwendet werden

In Windows verarbeitet der LSASS-Prozess (Local Security Authority SubSystem) alle Benutzer- und Systemsitzungen und Anmeldeinformationen. Führen Sie die folgenden Schritte aus, um diese Anmeldeinformationen zu isolieren und zu schützen:

• Konfigurieren Sie LSASS für alle Computerrollen (z. B. Arbeitsstationen und Server) als geschützten Prozess für Prozesse light (PPL). Weitere Informationen und Anweisungen finden Sie unter Konfigurieren des hinzugefügten LSA-Schutzes.

• Stellen Sie für Arbeitsstationen sicher, dass Credential Guard ausgeführt wird, um aktive Anmeldeinformationen und Geheimnisse weiter zu isolieren. Je nach Computerkonfiguration ist Credential Guard in aktuellen Versionen von Windows in der Regel standardmäßig aktiv. Weitere Informationen zur Verwendung von Credential Guard finden Sie in den folgenden Artikeln:

  • Übersicht über Credential Guard
  • Konfigurieren von Credential Guard
  • Funktionsweise von Credential Guard

Einschränken und Schützen lokaler Konten mit Administratorrechten

Sie können viele Ansätze verwenden, um zu verhindern, dass böswillige Benutzer gestohlene Anmeldeinformationen wie ein gestohlenes Kennwort oder einen Kennworthash verwenden, damit ein lokales Konto auf einem Computer zur Authentifizierung und Verwendung von Administratorrechten und -berechtigungen auf einem anderen Computer verwendet wird. Diese Art von Angriff wird als Lateral Movement bezeichnet.

Der einfachste Ansatz besteht darin, sich mit einem Standardbenutzerkonto bei Ihrem Computer anzumelden und dieses Konto dann für administrative Aufgaben zu verwenden, anstatt das Administratorkonto zu verwenden. Verwenden Sie beispielsweise ein Standardkonto, um im Internet zu surfen, E-Mails zu senden oder ein Textverarbeitungsprogramm zu verwenden. Wenn Sie administrative Aufgaben ausführen möchten, z. B. das Installieren eines neuen Programms oder das Ändern einer Einstellung, die sich auf andere Benutzer auswirkt, müssen Sie nicht zu einem Administratorkonto wechseln. Sie können die Benutzerkontensteuerung (User Account Control, UAC) verwenden, um Sie zur Eingabe einer Berechtigung oder eines Administratorkennworts aufzufordern, bevor Sie die Aufgabe ausführen, wie im nächsten Abschnitt beschrieben.

Weitere Ansätze, die Sie verwenden können, um Benutzerkonten mit Administratorrechten einzuschränken und zu schützen, sind die folgenden Schritte:

• Erzwingen lokaler Kontoeinschränkungen für den Remotezugriff
• Verweigern des Zugriffs auf das Netzwerk für alle lokalen Administratorkonten
• Erstellen eindeutiger Kennwörter für lokale Konten mit Administratorrechten

In den folgenden Abschnitten werden die einzelnen Ansätze beschrieben.

Erzwingen lokaler Kontoeinschränkungen für den Remotezugriff

Die Benutzerkontensteuerung (User Account Control, UAC) ist ein Sicherheitsfeature, das Sie informiert, wenn ein Programm eine Änderung vornimmt, die Administratorberechtigungen erfordert. UAC passt die Berechtigungsstufe Ihres Benutzerkontos an. Standardmäßig ist die Benutzerkontensteuerung so festgelegt, dass Sie benachrichtigt werden, wenn Anwendungen versuchen, Änderungen an Ihrem Computer vorzunehmen. Sie können jedoch ändern, wenn die Benutzerkontensteuerung Sie benachrichtigt.

UAC ermöglicht es, dass ein Konto mit Administratorrechten als Standardbenutzer ohne Administratorkonto behandelt wird, bis vollständige Rechte, auch als Rechteerweiterung bezeichnet, angefordert und genehmigt werden. Beispielsweise ermöglicht die Benutzerkontensteuerung einem Administrator die Eingabe von Anmeldeinformationen während der Benutzersitzung eines Nichtadministrators, um gelegentlich administrative Aufgaben auszuführen, ohne benutzer wechseln, sich abmelden oder den Befehl Ausführen als verwenden zu müssen.

Darüber hinaus kann UAC von Administratoren verlangen, dass Anwendungen, die systemweite Änderungen vornehmen, ausdrücklich genehmigt werden, bevor diesen Anwendungen die Berechtigung für die Ausführung erteilt wird, auch in der Benutzersitzung des Administrators.

Beispielsweise wird eine Standardfunktion der UAC angezeigt, wenn sich ein lokales Konto über die Netzwerkanmeldung von einem Remotecomputer anmeldet (z. B. mithilfe NET.EXE USEvon ). In diesem instance wird ein Standardbenutzertoken ohne Administratorrechte ausgestellt, aber ohne die Möglichkeit, Rechteerweiterungen anzufordern oder zu empfangen. Folglich können lokale Konten, die sich mit der Netzwerkanmeldung anmelden, nicht auf Administratorfreigaben wie C$ oder ADMIN$ zugreifen oder keine Remoteverwaltung durchführen.

Weitere Informationen zur Benutzerkontensteuerung finden Sie unter Benutzerkontensteuerung.

Die folgende Tabelle zeigt die Gruppenrichtlinie- und Registrierungseinstellungen, die lokale Kontoeinschränkungen für den Remotezugriff erzwingen.

So erzwingen Sie Lokale Kontoeinschränkungen für den Remotezugriff

1. Starten Sie die Gruppenrichtlinie Management Console (GPMC).

2. Navigieren Sie in der Konsolenstruktur zu Gesamtstruktur: GesamtstrukturName>DomänenDomänenname>, wobei ForestName der Name der Gesamtstruktur und DomainName der Name der Domäne ist, in der Sie das Gruppenrichtlinie Object (GPO) konfigurieren möchten.

3. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Gruppenrichtlinie Objekte, und wählen Sie dann Neu aus.

4. Geben Sie im Dialogfeld Neues Gruppenrichtlinienobjekt einen Namen für das neue Gruppenrichtlinienobjekt ein, und wählen Sie dann OK aus. Verwenden Sie den Gruppenrichtlinienobjektnamen, um anzugeben, dass das Gruppenrichtlinienobjekt lokale Administratorrechte auf einen einzelnen Computer beschränkt.

5. Klicken Sie im Detailbereich mit der rechten Maustaste auf das neue Gruppenrichtlinienobjekt, und wählen Sie dann Bearbeiten aus.

6. Führen Sie die folgenden Schritte aus, um UAC für das Standardadministratorkonto zu aktivieren und zu konfigurieren:

   1. Navigieren Sie im Gruppenrichtlinie-Verwaltungs-Editor zu Computerkonfigurationsrichtlinien>>Windows-Einstellungen>Sicherheitseinstellungen>Lokale Richtlinien>Sicherheitsoptionen.
   2. Klicken Sie im Detailbereich mit der rechten Maustaste auf Benutzerkontensteuerung: Alle Administratoren im Admin Genehmigungsmodus ausführen, und wählen Sie dann Eigenschaften aus.
   3. Wählen Sie Diese Richtlinieneinstellung definieren aus, wählen Sie Aktiviert und dann OK aus.
   4. Klicken Sie mit der rechten Maustaste auf Benutzerkontensteuerung: Admin Genehmigungsmodus für das integrierte Administratorkonto, und wählen Sie dann Eigenschaften aus.
   5. Wählen Sie Diese Richtlinieneinstellung definieren aus, wählen Sie Aktiviert und dann OK aus.

7. Führen Sie die folgenden Schritte aus, um lokale Kontoeinschränkungen für Domänenmitglieder auf Netzwerkschnittstellen anzuwenden:

   1. Navigieren Sie in GPMC zu der Domäne, in der Sie UAC-Einstellungen auf die Domänenmitglieder anwenden möchten.
   2. Erstellen Sie ein neues Gruppenrichtlinienobjekt, oder wählen Sie ein vorhandenes Gruppenrichtlinienobjekt aus, das dem Zweck entspricht.
   3. Öffnen Sie das Gruppenrichtlinienobjekt zur Bearbeitung.
   4. Navigieren Sie Gruppenrichtlinie Verwaltungs-Editor zu Computerkonfigurationseinstellungen>>Windows-Einstellungen>Registrierung.
   5. Klicken Sie mit der rechten Maustaste auf Registrierung, und wählen Sie dann Neues>Registrierungselement aus.
   6. Ändern Sie im Dialogfeld Neue Registrierungseigenschaften auf der Registerkarte Allgemein die Einstellung im Feld Aktion in Ersetzen.
   7. Stellen Sie sicher, dass das Hive-Feld auf HKEY_LOCAL_MACHINE
   8. Wählen Sie neben Schlüsselpfaddie Option ... und dann den folgenden Unterschlüssel aus: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
   9. Wählen Sie Auswählen aus.
   10. Geben Sie im Feld Wertnameden Namen LocalAccountTokenFilterPolicy ein.
   11. Wählen Sie im Feld Werttyp in der Dropdownliste die Option REG_DWORD aus.
   12. Geben Sie im Feld Wertdatenden Wert 0 ein, und wählen Sie dann OK aus.

8. Führen Sie die folgenden Schritte aus, um das Gruppenrichtlinienobjekt mit der entsprechenden Organisationseinheit (OE) zu verknüpfen:

   1. Navigieren Sie in der GRUPPEN-Verwaltungskonsole zu Gesamtstruktur: GesamtstrukturName>Domänenname>Domänenname>OUName, wobei ForestName der Name der Gesamtstruktur, DomainName der Name der Domäne und OUName der Name der Organisationseinheit ist, die die Mitglieder enthält, die Sie verwalten möchten. In diesem Fall enthält die Organisationseinheit die Arbeitsstationen, deren lokale Konten Sie einschränken möchten.
   2. Klicken Sie mit der rechten Maustaste auf OUName, und wählen Sie dann Vorhandenes Gruppenrichtlinienobjekt verknüpfen aus.
   3. Wählen Sie das gruppenrichtlinienobjekt aus, das Sie erstellt haben, und klicken Sie dann auf OK.

9. Aktualisieren Sie die lokale Richtlinie auf allen Arbeitsstationen in der Organisationseinheit. Führen Sie beispielsweise in einem Eingabeaufforderungsfenster aus gpupdate /force /target:computer.

10. Testen Sie die Funktionalität von Unternehmensanwendungen auf den Arbeitsstationen in dieser Organisationseinheit, und beheben Sie alle Probleme, die die neue Richtlinie verursacht.

11. Verknüpfen des Gruppenrichtlinienobjekts mit allen anderen Organisationseinheiten, die Arbeitsstationen enthalten

12. Verknüpfen des Gruppenrichtlinienobjekts mit allen anderen Organisationseinheiten, die Server enthalten

Verweigern des Zugriffs auf das Netzwerk für alle lokalen Administratorkonten

Wenn Sie lokalen Konten die Möglichkeit verweigern, sich über eine Netzwerkverbindung anzumelden (Netzwerkanmeldung), können Sie verhindern, dass ein böswilliger Angreifer einen Kennworthash für ein lokales Konto wiederverwenden kann. Dieses Verfahren trägt dazu bei, laterale Bewegungen zu verhindern, indem sichergestellt wird, dass Angreifer nicht gestohlene Anmeldeinformationen für lokale Konten von einem kompromittierten Betriebssystem verwenden können, um andere Computer zu kompromittieren, die dieselben Anmeldeinformationen verwenden.

Die folgende Tabelle zeigt die Gruppenrichtlinie Einstellungen, die die Netzwerkanmeldung für alle lokalen Administratorkonten verweigern.

So verweigern Sie allen lokalen Administratorkonten das Netzwerkanmeldungsrecht

1. Starten Sie gpmc, und navigieren Sie dann zu Gesamtstruktur: GesamtstrukturName>Domänen>DomainName, wobei ForestName der Name der Gesamtstruktur und DomainName der Name der Domäne ist, in der Sie das Gruppenrichtlinienobjekt konfigurieren möchten.

2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Gruppenrichtlinie Objekte, und wählen Sie dann Neu aus.

3. Geben Sie im Dialogfeld Neues Gruppenrichtlinienobjekt einen Namen für das neue Gruppenrichtlinienobjekt ein, und wählen Sie dann OK aus. Verwenden Sie den Gruppenrichtlinienobjektnamen, um anzugeben, dass das Gruppenrichtlinienobjekt die interaktive Anmeldung der lokalen Administratorkonten beim Computer einschränkt.

4. Klicken Sie im Detailbereich mit der rechten Maustaste auf das neue Gruppenrichtlinienobjekt, und wählen Sie dann Bearbeiten aus.

5. Führen Sie die folgenden Schritte aus, um die Benutzerrechte zum Verweigern der Netzwerkanmeldung für lokale Administratorkonten zu konfigurieren:

   1. Navigieren Sie im Gruppenrichtlinie Verwaltungs-Editor zu Computerkonfigurationsrichtlinien>>Windows-Einstellungen>Sicherheitseinstellungen>Lokale Richtlinien>Zuweisung von Benutzerrechten.
   2. Klicken Sie im Detailbereich mit der rechten Maustaste auf Zugriff auf diesen Computer über das Netzwerk verweigern, und wählen Sie dann Eigenschaften aus.
   3. Wählen Sie Diese Richtlinieneinstellungen definieren und dann Benutzer oder Gruppe hinzufügen aus.
   4. Geben Sie Lokales Konto und Mitglied der Gruppe Administratoren ein, und wählen Sie dann zweimal OK aus.

6. Führen Sie die folgenden Schritte aus, um die Benutzerrechte zum Verweigern der Remotedesktopanmeldung (Remote Interactive) für lokale Administratorkonten zu konfigurieren:

   1. Klicken Sie im Gruppenrichtlinie-Verwaltungs-Editor weiterhin unter Zuweisung von Benutzerrechten mit der rechten Maustaste auf Anmelden über Remotedesktopdienste verweigern, und wählen Sie dann Eigenschaften aus.
   2. Wählen Sie Diese Richtlinieneinstellungen definieren und dann Benutzer oder Gruppe hinzufügen aus.
   3. Geben Sie Lokales Konto und Mitglied der Gruppe Administratoren ein, und wählen Sie dann zweimal OK aus.

7. Führen Sie die folgenden Schritte aus, um das Gruppenrichtlinienobjekt mit der entsprechenden Organisationseinheit (OE) zu verknüpfen:

   1. Navigieren Sie in der GRUPPEN-Verwaltungskonsole zu Gesamtstruktur: GesamtstrukturName>Domänenname>Domänenname>OUName, wobei ForestName der Name der Gesamtstruktur, DomainName der Name der Domäne und OUName der Name der Organisationseinheit ist, die die Mitglieder enthält, die Sie verwalten möchten. In diesem Fall enthält die Organisationseinheit die Arbeitsstationen, deren lokale Konten Sie einschränken möchten.
   2. Klicken Sie mit der rechten Maustaste auf OUName, und wählen Sie dann Vorhandenes Gruppenrichtlinienobjekt verknüpfen aus.
   3. Wählen Sie das gruppenrichtlinienobjekt aus, das Sie erstellt haben, und klicken Sie dann auf OK.

8. Aktualisieren Sie die lokale Richtlinie auf allen Arbeitsstationen in der Organisationseinheit. Führen Sie beispielsweise in einem Eingabeaufforderungsfenster aus gpupdate /force /target:computer.

9. Testen Sie die Funktionalität von Unternehmensanwendungen auf den Arbeitsstationen in dieser Organisationseinheit, und beheben Sie alle Probleme, die die neue Richtlinie verursacht.

10. Erstellen von Links zu allen anderen Organisationseinheiten, die Arbeitsstationen enthalten

11. Erstellen von Links zu allen anderen Organisationseinheiten, die Server enthalten

Erstellen eindeutiger Kennwörter für lokale Konten mit Administratorrechten

Kennwörter sollten für jedes einzelne Konto eindeutig sein. Obwohl dies in der Regel für einzelne Benutzerkonten erzwungen wird, verfügen viele Organisationen über identische Kennwörter für allgemeine lokale Konten, z. B. das Standardadministratorkonto oder lokale Konten, die der organization bei Betriebssystembereitstellungen verwendet.

Kennwörter, die unverändert bleiben oder synchron geändert werden, um sie identisch zu halten, stellen ein erhebliches Risiko für Organisationen dar. Durch die Zufälligkeit der Kennwörter werden "Pass-the-Hash"-Angriffe verringert, indem verschiedene Kennwörter für lokale Konten verwendet werden. Zufällige Kennwörter erschweren die Möglichkeit böswilliger Benutzer, Kennworthashes dieser Konten zu verwenden, um andere Computer zu kompromittieren.

Sie können eine der folgenden Methoden verwenden, um Kennwörter nach dem Zufallsprinzip zu erstellen. Die Methoden werden in der reihenfolge der Präferenz aufgeführt:

• Konfigurieren der Lokalen Administratorkennwortlösung (LAPS) für diese Aufgabe.
• Kauf und Implementierung eines Unternehmenstools, um diese Aufgabe zu erfüllen. Diese Tools werden in der Regel als "Privileged Password Management"-Tools bezeichnet.
• Erstellen und Implementieren eines benutzerdefinierten Skripts oder einer Lösung zum zufälligen Festlegen lokaler Kontokennwörter